摘要：僵尸网络是一种由引擎驱动的恶意因特网行为：DDOS攻击是利用服务请求来耗尽被攻击网络的系统资源，从而使被攻击网络无法处理合法用户的请求。

第1页:僵尸网络已成为政治武器 第2页:僵尸网络已成为政治武器

　　
　　僵尸网络对服务商网络的影响
　　
　　作为我们的《全球构架安全报告》的一部分，Arbor Networks每年都要对其全球客户群进行调查。调查结果清楚表明，僵尸网络及其在DDOS攻击中作为引擎使用是当今因特网服务商(ISP)网络面临的一个最大的威胁。
　　
　　DDOS攻击越来越专业化：虽然自2000年以来，中等规模的DDOS攻击一直困扰着互联网，但是根据调查反馈者的报告，普通中等规模的"业余"攻击和使用成千万僵尸主机(zombie)进行的多GB"专业"攻击之间的差别正在逐步扩大。接受调查的大部分服务商都报告说，僵尸军团的攻击无论在复杂性还是在协调性上都有了很大发展。
　　
　　攻击发展速度超过ISP网络发展速度：过去几年，大部分一级和二级服务商都已完成了对骨干网络基础构架的大量投资-把链路从OC12/48(2Gbps)升级到OC192(10Gbps)。但是，接受调查的服务提供商报告说，曾经遇到超过24Gbps的持续攻击速率，此数字超过最近升级的链路容量的两倍。
　　
　　我们很快将会发布2008年的调查结果，今天我想与各位分享一个数据。在今年的报告中，有好几家服务商报告说，他们曾经遭受超过40Gbps的持续DDOS攻击。总之，DDOS攻击在继续变得越来越复杂，规模也变得越来越大。
　　
　　缺少执法助长网络攻击：如果您在街上示威，就有可能真正触犯法律。但是如果您在因特网上进行示威，触犯法律的机率会变得很小，法律对您会很有利。
　　
　　在我们的报告中，几乎没有服务商会向执法机构举报这些攻击。不进行举报的原因很多。其中指出的一些原因包括：
　　
　　◆客户隐私/要求
　　
　　◆缺乏取证分析的详细信息
　　
　　◆攻击太多无暇应对
　　
　　◆对报告是否有用心存疑虑
　　
　　全世界大多数国家的执法都是努力制止街头犯罪，却不管网络犯罪，这是一个事实。那些干坏事的人很清楚这一点，所以他们不断地把他们的行为转向因特网所代表的安全空间。
　　
　　DDOS减除策略
　　
　　DDOS攻击永远无法被阻断，这是由因特网的性质所决定的。即使没有僵尸网络和各种复杂的工具，任何人都可以鼓励其他人去访问某一网站，从而有效地发生请求溢出，破坏网站的稳定性。我们无数次看到过使用"点杠效应(Slashdot effect)"进行攻击的例子。同样是在爱沙尼亚和韩国，就发生过烦躁民众向攻击对象发送大量请求，导致服务被迫中断的情况。然而，我们可以对攻击进行管理，对基础构架的配置进行更改，避免其在此类攻击中被滥用。
　　
　　就象20世纪90年代采取的协同行动，通过更改默认的路由器设置来阻断"Smurf"攻击一样，开放的递归式DNS服务器会对因特网的基础构架造成威胁，因为它们可以用来进行DNS放大攻击。发现并配置好这些设施是一个重大的挑战。在这方面几乎还没有取得任何进展。
　　
　　如果流量发生明显的变化，则可以在入侵点对其进行大规模的拦截，这样对正常流量的中断最小;例如，在上游路由器处对所有ICMP回显请求进行过滤可以阻断Ping泛洪攻击。即使攻击者向被攻击对象发送随机数据包，具有这种特征的"异常"流量也能够被安全拦截，从而减少带宽的使用。
　　
　　除非端点能够对Akamai等大型分布式主机的基础构架进行访问，否则很难在DNS层面上采取行动来挫败DDOS攻击。为此，它们可以把攻击流量分散到多个高度互连的节点上，从而针对攻击者筑起一道防护栏。除非把DNS条目完全下载到本地，否则DNS条目的短存活时间(TTL)值对挫败攻击并没有帮助，因为攻击者总可以利用被攻击对象的IP地址作为目标。
　　
　　对付大型DDOS攻击最成功的策略是采用多向量方法。如果可以识别泛洪源IP地址，则可以在源地址端把它们关闭，或者如果无法联系服务商，则可以使用路由方法在通向网络途中阻断其流量(通过在路由器上执行"单播反向路径转发"[Unicast Reverse Path Forwarding]来实现)。根据攻击的不同类型，也可以采用SYN代理等其他防护技术。此外，还可以使用高速线路过滤设备来中断额外流量或将其规模缩小到可接受的水平。
　　
　　Arbor Networks应用智能和威胁减除
　　
　　使用10GbpsArborPeakflowSP威胁管理系统(TMS)设备的Peakflow SP是第一个能够广泛集成网络级智能和运营商级威胁管理的平台。Arbor Peakflow SPTMS是一种针对多服务融合式网络的应用智能设备。它可以增强全网事态感知能力，并通过将高水平的威胁识别能力与数据包级分析相结合，可更为迅速地采取措施。它可以补充和完善Peakflow SP的其它清洗技术，包括指纹共享、边界网关协议(BGP)黑洞路由选择、BGP流规范和对第三方产品的支持。
　　
　　为了减少大规模DDOS攻击带来的附带损害，服务商常常会阻断前往受攻站点的所有流量，以籍此阻断DDOS攻击。使用集成TMS设备，Arbor Networks可以仅阻断攻击流量，从而保持可用的服务和较高的客户满意度。Peakflow SPTMS使服务商能够在不中断合法流量的情况下识别和阻断网络和应用层攻击。Peakflow SPTMS能够提供具有高成本效益的网络和应用层威胁检测、减除和报告功能，从而使服务商可以维护关键IP业务。
　　
　　Arbor的领导作用促进服务商之间的交流
　　
　　大规模的DDOS攻击不仅会影响既定的受攻击对象，而且会影响到可能正在使用同一共享网络服务的其他用户。Arbor Networks在建立"指纹共享联盟"等自动进程上发挥了重要作用。"指纹共享联盟"是跨公司、大陆和海洋的一个打击网络攻击活动的全球电信公司联盟。Arbor Networks向Peakflow SP添加了指纹共享功能，允许各公司在不泄露任何竞争性信息的情况下自动共享攻击指纹。
　　
　　Peakflow SP通过从网络中的设备收集数据来完成这一功能，然后把数据相互关联起来，以利于服务商为网络创建基线和检测异常偏差，并把偏差标记为异常。随后，系统将决定异常情况是合法的瞬时拥塞(例如在线事件发生期间)还是恶意攻击。网络管理员随即决定是否对其进行减除或保留。
　　
　　如果确认是恶意攻击，Peakflow SP就会产生指纹，服务商可以通过选择对等体自动安全地对其进行共享。网络管理员可以完全控制谁能够接收共享指纹，且网络无需相邻。指纹接收者在接收到发送过来的指纹时，可以选择接受或拒绝共享请求。
　　
　　结论
　　
　　近年来，僵尸网络已成为推动恶意因特网行为发展的主要动力。僵尸网络已变得越来越复杂，规模也变得越来越大。同时，它们已被应用于垃圾邮件、网络钓鱼和ID窃取等不断扩大的各种方法中。最近，僵尸网络还被用于发起DDOS攻击，成为政治示威的一种形式。虽然，我们还没有看到国家支持的网络攻击，但是大多数政府认为两个政府之间的此类因特网冲突是不可避免的。
　　
　　鉴于此，解决僵尸网络问题是服务商面临的第一安全要务。无论是通过"指纹共享联盟"内的创新和协作，还是通过我们对ATLAS的研究能力及我们的安全专家团队，Arbor Networks都将继续发挥关键作用，帮助服务商确保其网络的安全性、可用性和盈利性。
　　
　　责任编辑：Lily